Seguridad de información

Nuestra Política de Seguridad de la Información describe los lineamientos que se aplican a los procesos de la empresa, siendo la principal normativa de apoyo a nuestros colaboradores.

Para mantener nuestras directrices en línea con las necesidades del negocio, nuestra Política de Seguridad de la Información se actualiza al menos una vez al año.

Entre los varios puntos abordados en la Política, destacamos la Clasificación de la Información, la Gestión de Riesgos y el Trabajo Remoto.

El Sistema de Gestión de Seguridad de la Información se estructuró con el objetivo de mantener nuestra Plataforma de Experiencia del Cliente y los procesos que la soportan cumpliendo con los más altos estándares de seguridad de la información. Estamos certificados con la ISO 27001 desde 2022.

Nos basamos en las mejores prácticas internacionales de seguridad de la información para brindar productos seguros a nuestros clientes. La protección se extiende desde la concepción hasta el soporte diario a nuestros productos.

Los controles de seguridad se aplican en base a los 3 pilares de la Seguridad de la Información:

• Confidencialidad: Certificar que las informaciones sean accedidas únicamente por personas debidamente autorizadas
• Integridad: Garantizar que las informaciones estén íntegras y no hayan sido alteradas indebidamente.
• Disponibilidad: Asegurar que la informaciones estén accesibles cuando sea necesario.

A continuación, enumeramos las principales prácticas a las que nos adherimos internamente:

• Nuestra infraestructura y aplicaciones se someten a análisis de vulnerabilidades recurrentes, contando además con actividades direccionadas a las correcciones necesarias según el nivel de criticidad de la vulnerabilidad identificada;
• Anualmente, nuestros productos se someten a una prueba de penetración realizada por consultores independientes;
• Realizamos análisis de códigos y bibliotecas para identificar y corregir posibles vulnerabilidades durante el ciclo de desarrollo del software;
• Los negocios y la seguridad van de la mano, por lo que aplicamos Security & Privacy by Design;
• Nuestra infraestructura utiliza tecnologías que brindan protección perimetral, tales como firewall, WAF, anti-DDoS e IPS.

Monitorizamos nuestro entorno y actuamos con rapidez ante escenarios de posibles incidencias.

También contamos con un procedimiento formal que permite a cualquier empleado identificar un escenario de incidente para informar al equipo responsable del tratamiento.

El proceso de gestión de incidentes involucra desde la detección y contención del incidente, hasta la generación del reporte y lecciones aprendidas, aplicando las correcciones necesarias para que el incidente no vuelva a ocurrir.

Tenemos planes para que nuestros productos permanezcan disponibles y fácilmente recuperables en caso de un escenario de desastre. Además, nuestros entornos tienen una arquitectura redundante, lo que elimina los puntos únicos de fallo.

Nuestro compromiso con la disponibilidad de los productos se describe en nuestro Término de Uso. Haz clic aquí para acceder.

Consideramos metodologías como “least privilege” y “need to know” durante todo el ciclo de vida de los accesos en Zenvia. La premisa para dar acceso es asegurar que quien lo solicita realmente tiene una necesidad comercial válida, teniendo en cuenta la confidencialidad e integridad de los datos involucrados.

Una vez otorgado, también contamos con controles para validar la identidad de quien está realizando el acceso y si la necesidad sigue vigente. Para eso, usamos:

• Autenticación multifactor (MFA) aplicada a los accesos internos, garantizando algo más que solo el factor “Algo que sabes”;
• Revisiones de acceso se realizan periódicamente, revocando cualquier acceso que ya no sea necesario;
• Realizamos una gestión de acceso centralizada, es decir, cuando termina la relación con un usuario, se revoca el acceso de forma inmediata.

Consideramos que proporcionar a nuestros empleados equipos funcionales y con los controles de seguridad adecuados ayuda a proteger las informaciones a las que se puede acceder. De esta manera, solo se deben utilizar equipos corporativos y compatibles para llevar a cabo las rutinas del negocio.

A continuación, enumeramos algunos de los controles que se implementan en los dispositivos:

• Antivirus para mantener los dispositivos monitoreados y protegidos contra amenazas.
• Encriptación de disco con el fin de proteger las informaciones que puedan almacenarse en los dispositivos.
• A través de DLP (Prevención de Pérdida de Datos) logramos monitorear y evitar posibles intercambios irregulares de información.
• Incluso para los empleados que son remotos, monitorizamos la navegación web a través del control de navegación (CASB) restringindo el acceso a sitios web inapropiados.

Además, todos los empleados de Zenvia reciben orientación sobre las mejores prácticas para el trabajo remoto, siguiendo nuestras políticas.

Con el objetivo de minimizar los riesgos que puedan generar un proveedor, realizamos evaluaciones críticas en el momento de la contratación y periódicamente – en este caso de los proveedores que puedan tener acceso a nuestro entorno. Siempre estamos buscando aliados que puedan tener prácticas de seguridad muy similares a las adoptadas por nosotros.

Seguridad de la Información y Privacidad de Datos es un deber de todos los colaboradores y, por ello, realizamos constantes capacitaciones y acciones enfocadas en el tema. También proporcionamos formaciones específicas sobre desarrollo seguro a los equipos que tienen esta responsabilidad.

Todas las áreas trabajan juntas para proteger las informaciones de nuestros clientes.

Nos preocupamos por la privacidad de nuestros clientes. Todo el procesamiento de datos personales se lleva a cabo de conformidad con la normativa aplicable. Lea nuestra Política de Privacidad.